美國聯邦調查局(FBI)、網路安全和基礎設施安全局(CISA)、荷蘭國家網路安全中心(NCSC-NL)和歐洲刑警組織歐洲網路犯罪中心(EC3)針對 Akira 勒索軟體發布聯合警告。
自 2023 年 3 月以來,該組織對 250 多家公司和關鍵基礎設施實體發動了攻擊,主要分佈在北美、歐洲和澳洲。
Akira的進化和攻擊技巧
截至 2024 年 1 月 1 日,Akira 威脅行為者已籌集了約 4,200 萬美元的贖金。
Akira 最初是用 C++ 編寫的,最初使用 .akira 副檔名加密檔案。然而,變化已經出現。從 2023 年 8 月開始,該組織分發了基於 Rust 的 Megazord 勒索軟體,並在其加密檔案中附加了 .powerranges 擴展名。現在,一些攻擊涉及部署 Megazord 和 Akira 變體以產生更大的影響。
了解更多: 2024 年頂級加密貨幣騙局
聯邦調查局和網路安全研究人員追蹤了 Akira 的初始存取方法。他們通常利用缺乏多重驗證 (MFA) 的 Cisco VPN 服務中的已知漏洞。此外,他們還透過遠端桌面協定、魚叉式網路釣魚和洩漏的憑證獲得存取權限。
一旦進入網絡,Akira 攻擊者就會創建新的網域帳戶來維持持久性。然後,他們利用 Mimikatz 等憑證抓取工具來升級權限。系統偵察和網域控制站識別是使用 SoftPerfect 和 Advanced IP Scanner 等工具以及本機 Windows 指令來執行的。
Akira 作者經常在橫向穿過受感染網路之前禁用安全軟體。據觀察,PowerTool 會停用防毒進程以逃避偵測。
為了竊取敏感數據,Akira 業者廣泛使用 FileZilla、WinSCP 和雲端儲存服務等滲透工具。他們與 AnyDesk、RustDesk 和 Cloudflare Tunnel 建立命令和控制通道。
正如雙重勒索模型一樣,Akira 參與者在竊取資料後對系統進行加密。 他們的勒索字條包含一個唯一的代碼和一個用於聯繫他們的 .onion URL。他們沒有具體說明初始贖金金額,促使受害者進行談判。
贖金以比特幣形式支付給威脅行為者提供的加密錢包地址。
此外,根據 FBI 報道,為了施加進一步壓力,Akira 威脅行為者威脅要在 Tor 網路上發布被盜數據,並且在某些情況下還對受害公司進行了點名。
FBI、CISA、EC3 和 NCSC-NL 已針對 Akira 威脅行為者係統和網路偵測技術發布了全面建議。實施這些緩解措施可以顯著降低成功攻擊的風險。
「除了應用緩解措施之外,FBI、CISA、EC3 和NCSC-NL 建議針對本通報中映射到MITRE ATT&CK for Enterprise 框架的威脅行為來演練、測試和驗證組織的安全計劃,」CISA 在報告中寫道。
了解更多: 5 大加密安全缺陷以及如何避免它們
根據 Chainaanalysis 2024 年 2 月的報告, 勒索軟體攻擊在 2023 年愈演愈烈,受害者被勒索了 10 億美元。這凸顯了日益增長的網路威脅以及組織改善網路防禦的必要性。